1. Не бойтесь лажать
или Negative Security
Алексей Лукацкий (@alukatsky)
БЕЗОПАСНОСТЬ ВДУВАЕ
МНЕ 2017
2. О провалах говорить не принято
• Современное общество
ориентировано на успех
• Об провалах и лаже говорить не
принято
• Ошибки обладают колоссальным
потенциалом и способны научить вас
гораздо большему, чем успех
«Не умеет играть. Не умеет петь.
Лысоват. Немного танцует»
3. Безопасники тоже лажают
• Адам Шостак, член BlackHat Review Board, автор книги
«Моделирование угроз», бывший лидер MS SDL Threat Modeling
Tool и пр.
• Его блог был взломан из-за отсутствия обновления модуля сбора
статистики, а затем использован как CnC для ботнета
4. Урок №1. Умейте распознавать свою лажу
• Бездумно ругать регуляторов,
даже не пытаясь представить себя
на их месте, это ошибка
• С этого начинают все начинающие
и не очень безопасники,
считающие, что если вы не знаете,
что такое mimikatz, то вы не
настоящий безопасник, а
«бумажник» Джон Макафи, главный эксперт
по лаже в отрасли ИБ
5. Урок №2. Умейте признавать свою лажу
• Сапожники без сапог бывают даже в ИБ
• «Северная казна» (был куплен на взлете),
Microsoft (жива и прекрасно себя
чувствует), ChoicePoint (потери около 1+
млрд.долларов)
• В 2008-м году мне подсадили на лэптоп
троянца, а в 2012-м у меня накрылся SSD
на лэптопе без возможности
восстановления
• А вот свой сайт я не могу запустить уже
много лет – боюсь, что взломают
Брюс Шнайер раньше считал,
что криптография – это панацея,
а пароль не должен показываться
звездочками
6. Урок №3. Умейте извлекать уроки из лажи
• Мое резюме прокатили в АйТи в 96-м году и
в Лаборатории Касперского в 2009 – теперь
я умею делать классные резюме только
отправлять некуда
• Не смог обосновать проект по ПДн для
Global Risk Board в 2013-м году – сделал это
с другой мотивацией двумя годами позже
• Меня часто называют «ИБ-теоретиком» -
стал первым Cisco Security Champion во всей
Cisco и первым Cisco Security Ninja Blue Belt
в регионе EMEAR (сейчас их всего 3 в регионе)
Алексей Лукацкий сбился со счета
своим лажам